皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた『Wi-Fiチップ』の脆弱性、『ESET（イーセット）』は次のように発表しています。

Wi-Fiチップに深刻な脆弱性発覚

PC、スマートフォン、タブレットなどに使われている『Wi-Fiチップ』の脆弱性は、利用されてしまうと通信中のデータの暗号が解読されてしまう危険性があるというものです。

この脆弱性は多くのデバイスで採用されている『Broadcom』と『Cypress』の『Wi-Fiチップ』に存在するとされており、パッチを適用しない限り脆弱性は解消されません。

Wi-Fi（無線）ルーター、アクセスポイントも当然含まれます。

ただし、既にセキュリティパッチをリリース済みのものもあるため、それを適用しているデバイスは特別気にする必要性はありません。

例えばiOS 13.2、iPad OS 13.2、macOS Catalina 10.15.1などはそれが含まれているため、それ以降のOSを使用しているのであればOKです。

また、『Wi-Fiチップ』だけではなく『Bluetooth』にも脆弱性は存在していますが、例えばiOS 12.4、macOS Mojave 10.14.6、Windows系2019年8月のセキュリティパッチにて脆弱性修正は行われているため、それが適用されているのであればOKです。

使用しているデバイスのセキュリティ更新などを放置している方は注意が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

iPhoneがアメリカで発売されたのが2007年、約12年前ですから14年前となるとスマートフォンやタブレットはなく、フィーチャーフォンの時代でした。

しかし、家庭向けの光回線も既に世に出ており、日本のインターネット人口は70%を超えるまで普及していました。

ということは、14年前には既にインターネット上の脅威にさらされていたということになります。

情報セキュリティの基本は今も昔も同じ

東京ビッグサイトでプレゼンテーションを行ったIPA（独立行政法人情報処理推進機構）の研究員はこのように語ったそうです。

14年分を振り返ってみると、『脆弱性を狙う』『フィッシングメールで人をだます』『内部漏えい』という主な手口は同じ。

その後、スマートフォンやタブレット、IoT機器の登場などにより環境は拡大し、脅威にさらされるものが増えた＝標的が増えたということはありますが、IPAの研究員はこのようにも述べています。

多数の脅威があるが、『攻撃の糸口』は似通っている。それを防ぐための基本的な対策の重要性も変わらない。

そして、以下の5つの対策を挙げています。

・ソフトウェアの更新

・セキュリティソフトの利用

・パスワードの管理、認証の強化

・設定の見直し

・脅威、手口を知る

この5つです。

つまり、技術の進化とともに攻撃手法はどんどん巧妙になってきてはいるものの、それへの対策の基本は同じということです。

今も昔も情報セキュリティの基本は同じなのです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、Wi-Fi（無線LAN）ルータにある機能で『SSIDステルス機能』というものをご存知でしょうか？

これ、セキュリティメーカーなどの解説を見ると『セキュリティ強度は上がらない。』と書かれていることがあったりしますが、それは全く意味がないということではありません。

ではどういう意味なのでしょうか？

Wi-Fiルータのステルス機能

『Wi-Fi（無線LAN）ルータのステルス機能は完全に秘匿できるのか？』と問われれば答えは『No』となります。

これは設計上の問題で、Wi-Fi（無線LAN）ルータのSSIDは常に電波に乗って通知されており、PCやスマートフォン、タブレットなどから”SSIDを入れて“接続を試みた場合はステルス機能が働いていても応答します。

ということは、完全には秘匿できていないことにはなります。

しかし、実際に接続するにはSSIDを知る必要があります。

ただし、周囲にどのようなSSIDが存在しているのかを調べることは技術的には出来てしまいますのでセキュリティ効果的に高いものとは言えないという意味になります。

ここを混同している場合が多いのではないでしょうか。

結論としては確率論の問題になりますので、むやみに公開しているよりは非公開にしておいた方が良いことは確かです。

従って、Wi-Fi（無線LAN）ルータのステルス機能は一定の効果はあるという答えになります。

また、認証方式には現状で最も強度の高い『WPA2』（WPA3はまだほとんど発売されていないため。）を採用し、暗号化方式にも『AES』を使い、パスフレーズもアルファベットの大文字・小文字、数字、記号を混在させた12文字以上のものを使うべきでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

iPhoneなどのiOSデバイスを使っている方で、不具合が解消されているはずの『Wi-Fi（無線LAN）接続』に関して未だにしっくりこない状況の方、こんなアプリを入れていませんか？

iPhoneのWi-Fiが遅延するアプリ

iPhoneなどのiOSデバイスにおいて、Wi-Fi（無線LAN）が繋がらないわけではないが、繋がるまでに非常に時間がかかるというケースがあります。

iOSデバイス向けには少ない、セキュリティ系の一部のアプリケーションがインストールされているケースです。

現時点でのiOSの最新バージョン『iOS 12.1』でもそれが確認できるものとしては『Lookout』という米国のLookout社が提供するアプリケーションで、このアプリのセキュリティが動作している場合、おそらくチェック機能が働くことでWi-Fi（無線LAN）接続に1分強程度の遅延が発生します。

また、同アプリケーションはAndroid向けのものも提供されているため、Android搭載のスマートフォンなどにおいても同じような現象が発生する可能性があります。

このようなセキュリティ系のアプリケーションの場合、保護の観点からすればチェック後にしか接続しないということは十分にあり得る話しで、それはOS側の不具合ではなく、アプリケーションの仕様が影響しているものと言えるかもしれません。

Wi-Fi（無線LAN）接続に遅延が発生している方、一度セキュリティ系のアプリケーションを削除して試してみると問題に落ちがつく可能性があります。

ただし、Android搭載のスマートフォンやタブレットを使われている方の場合、最終的にはセキュリティソフトを無しにすることはお勧めしません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、国税庁は来年から『確定申告等作成コーナー』をリニューアルします。

事業者であればパソコンからしか行わないかもしれませんが、スマートフォン・タブレットに最適化された画面が用意されるようです。

スマホで確定申告 スマート申告が始まる

画面まわりのデザイン変更が行われるだけではありません。

e-Taxの送信方式が、『マイナンバーカード方式』と『ID・パスワード方式』の選択ができるようになります。

マイナンバーカード方式：マイナンバーカードとICカードリーダライタを利用してe-Taxを行う方法

ID・パスワード方式：ID・パスワード方式の届出完了通知」に記載されたe-Tax用のID・パスワードを利用してe-Taxを行う方法

※ マイナンバーカード方式はパソコンのみです。スマートフォン・タブレットでe-Taxを行う場合は『ID・パスワード方式』になります。

『ID・パスワード方式』の場合、マイナンバーカードとICカードリーダライタは不要ですが、『ID・パスワード方式の届出完了通知』が必要となります。

『ID・パスワード方式の届出完了通知』の発行は、税務署で職員による本人確認を行った上での発行となるため、運転免許証などの本人確認書類を持参し、最寄りの税務署に出向く必要があります。

（平成30年1月以降、確定申告会場などで既にID・パスワード方式の届出完了通知を受け取っていれば平成31年1月から利用可能です。）

参考資料１：『いつでもどこでもスマホで申告 ～5つのステップで手続完結！～ （PDF/896KB）』

参考資料２：『平成31年1月からe-Taxの利用手続がより便利になります （PDF/1,477KB）』

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

10月の始め、国税庁は新しい『コンビニ納付』手続きの開始について国税庁ホームページサイトに公開しています。

QRコードを使ったコンビニ納付手続き

2019年1月4日以降、納付に必要な情報（氏名や税額など）を『QRコード（PDFファイル）』として作成・出力することでコンビニエンスストアでの納付が可能になります。

（納付書がなくてもコンビニ納付が可能になります。）

利用方法は、

１．確定申告等作成コーナー等から『QRコード』を作成・出力し、コンビニの店舗へ持参

２．コンビニに設置の『Loppi』や『Famiポート』の端末に持参したQRコードを読み取らせ、バーコード（納付書）を出力

３．バーコード（納付書）を使ってレジにて納付

といった手順となります。

QRコードの作成・出力方法には2通りあり、1つは『確定申告等作成コーナー』から、もう1つは『国税庁ホームページ』から作成・出力が可能です。

確定申告等作成コーナーでの場合、所得税、消費税、贈与税の申告書を作成する際にQRコードの作成を選択することで、申告書に併せてQRコード（PDFファイル）を印字した書面が作成されます。

国税庁ホームページからの場合、コンビニ納付用QRコード作成専用画面で納付に必要な情報（住所、氏名、納付税目、納付金額等）を入力することでQRコード（PDFファイル）を印字した書面が作成されます。

ただし、納付可能金額は従来同様30万円以下となります。

また、作成したQRコードをスマートフォンやタブレットに保存し、それをコンビニ設置の端末に読み取らせることも可能です。

利用可能なコンビニは『ローソン』、『ナチュラルローソン』、『ミニストップ』、『ファミリーマート』となります。

ご参考までに。

では、情報漏えいを防ぐためにはどのような対策を行えば良いのでしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、モバイルデバイスは欠かせないものとなっていますが、紛失や盗難などを想定した情報漏えい対策は不十分なことが多いようです。

それに対してIPA（独立行政法人情報処理機構）のセキュリティセンターが解説などを行っています。

モバイルデバイスの情報漏えい対策

IPAが公開しているモバイルデバイスの情報漏えい対策としては以下のことが書かれています。

＜解説編＞

■　情報漏えい対策のために必要なこと
・端末ロックだけでは不十分（暗号化の必要性）
・暗号化のしくみ
・誤った対策により悪用されてしまうケース
■　正しい対策のために必要なこと
・なりすましを避けるための利用者認証
・端末を常に最新の状態に保つこと
■　情報漏えい対策の考え方 ・情報価値レベルと対策の最低水準(ベースライン)について
・端末、可搬媒体に対する対策のベースラインについて　など

＜解説編 PDF資料＞

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル（解説編）

＜実践編＞

■　「Microsoft Windows7, 8」、「iOS6」、「Android4.x」
・端末ロックによる利用者認証の有効化
・端末ロックによる利用者認証の安全性強化
・ハードディスク / フォルダの暗号化設定
■　「Microsoft Office (Word, Excel, Powerpoint)」、「Adobe Acrobat (PDFファイル)」
・ファイルへの暗号化設定の有効化
■　「Windows 10」
・端末ロックによる利用者認証の有効化
・端末ロックによる利用者認証の安全性強化
・ドライブ / フォルダの暗号化設定 (EFS, BitLocker)
・デバイス暗号化の設定
■　「Office 2016 / Office 365」
・ファイルへの暗号化設定の有効化
■　「Acrobat DC / Acrobat 2017」
・ファイルへの暗号化設定の有効化

＜実践編 PDF資料＞

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル（実践編）

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル（実践編-Windows10での設定方法）

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル（実践編-Office2016/Office365での設定方法）

情報漏えいを防ぐためのモバイルデバイス等設定マニュアル（実践編-AcrobatDC/Acrobat2017での設定方法）

ご参考までに。

悪用された場合には管理者権限が取得され、デバイスに保存された情報が流出してしまう可能性があると警告されています。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

人からスマートフォンやタブレットの選択を問われた場合、私は必ず『iPhone』や『iPad』と回答します。

仕事で使う業務用だけでなく、プライベート用のものであっても同じです。

それは何故だと思いますか？

iPhone・iPadを選択するのは確率論

iPhoneなどのiOSデバイスに脆弱性が全くないわけではありません。

しかし、Androidと比較した場合、iPhone・iPadの方がリスクが少ないと判断できます。

現に、iPhoneやiPad向けのセキュリティソフトは無いに等しく、あってもウェブアクセス保護用だけで、Android向けには内部も保護するものが多数出ています。

ここからも想像がつくように、確率的にiPhoneやiPadなどのiOSデバイスはAndroid OSに比べて被害にあう確率が低いと考えられます。

この世界に絶対という100%の話しはありませんので、絶対ではありませんが、単純に確率論としてはiOSデバイスを選択する方がリスクが低いということだけです。

仕事で使う業務用としてであれば、なおさらリスクの低い方を選択するということになるでしょう。

ある人がこのようなことを言っていました。

『出張した際、スマートフォンにトラブルが起きてもApple Storeは直ぐ近くにはほぼない。携帯キャリアであれば見つかる。だからAndroidを選択している。』と。

言いたいことはわかりますし、確かにその通りとも言えます。

しかし、携帯キャリアが見つかったとしても、その場でスマートフォンが直るとは限りませんし、逆に言えばそれほど簡単には壊れないとも言えます。

さて、あなたならばどちらを選択されますか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、ご存知の通りSSL3.0は、2014年に事実上終了した感じとなっているわけですが、それに続き、TLS1.0とTLS1.1も順次終了していく様子が見受けられます。

TLS1.0とTLS1.1も順次対応は終了する

昨日でしたでしょうか。

Yahoo!JAPANが2018年6月1日（今日）以降、インターネット通信暗号化方式『TLS1.0』および『TLS1.1』のサポートを順次終了することが報じられました。

実のところ、2014年の『POODLE』という脆弱性発覚時において、実装が不十分な一部のTLS1.0とTLS1.1にも脆弱性は発見されており、昨今においては『TLS1.2』が主流になっていることもあり、安全性を重視し、TLS1.0とTLS1.1へのサポートを終了していくということになったのでしょう。

そして、こういった動きは他のサービスにおいても進む可能性が高いと思われます。

これにより、『TLS1.2』に対応していない古いブラウザやパソコンやスマートフォン、タブレットなどにおいて影響が出てきます。

それに伴い、OSやブラウザのバージョンアップが必要になり、それが不可能であれば新しいデバイスへの買い替えを行わなければウェブサービスが順次利用できなくなっていくことになります。

対応の可否は、Yahoo!JAPANのサイトでも確認可能です。

参考：『Yahoo!セキュリティセンター』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先日、あるセキュリティ企業がAndroidデバイスに関してこんなことを発表しました。

安価なAndroid搭載機種のファームウェアで新しいTrojan Android.Triada.231を発見しました。
この検出以降、感染したデバイスのリストは絶えず増加しています。
現時点では、リストには40以上のモデルが含まれています。

Androidの出荷時点における危険性

このセキュリティ企業が確認した『Android.Triada.231』は俗にいう『トロイの木馬』の一種で、公表された記事には以下のように書かれています。

重要なAndroidシステムコンポーネント、Zygoteのプロセスに感染します。このプロセスは、すべてのアプリケーションを起動するために使用されます。トロイの木馬がこのモジュールに注入されると、実行中の他のアプリケーションに侵入します。そうすることで、彼らはユーザーの介入なしに様々な悪意のある活動を実行する能力を得ます。つまり、彼らはひそかにソフトウェアをダウンロードして起動します。 Android.Triada.231の主な機能は、サイバー犯罪者がこのトロイの木馬をlibandroid_runtime.soシステムライブラリに注入することです。彼らは別のプログラムとしてトロイの木馬を配布しません。その結果、悪意のあるアプリケーションは製造時にデバイスファームウェアに侵入します。ユーザーはすでにボックスから感染したデバイスを受信します。

この『トロイの木馬』を確認したことはデバイスメーカーに通知されたようですが、メーカーが対応をしないまま新しいモデルにも感染拡大したとされています。

さて、そこで冒頭の質問に戻ります。

モバイルデバイスを選択する際、私の場合は確率的にどちらが安全かを考慮します。

結局のところ、iOSデバイスを選択するか、Androidデバイスを選択するかになるため、現時点においてはiOSデバイスを選択し続けています。

安全性の比較論だけで選択しているわけでもありませんが、リスクの少ない方を選択することは非常に重要です。

参考：Doctor Web: over 40 models of Android devices delivered already infected from the manufacturers